~ubuntu-branches/ubuntu/maverick/postfix/maverick-security

Postfix version 2.3 introduces support for the Sendmail version 8 Milter (mail

filter) protocol. This protocol is used by applications that run outside the

MTA to inspect SMTP events (CONNECT, DISCONNECT), SMTP commands (HELO, MAIL

FROM, etc.) as well as mail content (headers and body). All this happens before

mail is queued.

Postfix version 2.4 implements all the requests of Sendmail version 8 Milter

protocols up to version 4, including message body replacement (body replacement

is not available with Postfix version 2.3). See, however, the workarounds and

limitations sections at the end of this document.

list of filters that are used for SMTP mail only, and one list of filters that

are used for non-SMTP mail. The two lists have different capabilities, which is

unfortunate. Avoiding this would require major restructuring of Postfix.

simplified (the OVERVIEW document has a more complete description).

On some Linux and *BSD distributions, the Sendmail libmilter library is

installed by default. With this, applications such as dkim-milter and sid-

milter build out of the box without requiring any tinkering:

 

    $ ggzzccaatt ddkkiimm--mmiilltteerr--xx..yy..zz..ttaarr..ggzz || ttaarr xxff --

    $ ccdd ddkkiimm--mmiilltteerr--xx..yy..zz

    $ mmaakkee

    [...lots of output omitted...]

 

On other platforms you have two options:

 

  * Install the Sendmail libmilter object library and include files. On Linux

    systems, libmilter may be provided by the sendmail-devel package. After

    installing libmilter, build the Milter applications as described in the

    preceding paragraph.

 

  * Don't install the Sendmail libmilter library, but build the library from

    Sendmail source code instead:

with a permanent status.

        # What to do in case of errors? Specify accept, reject, or tempfail.

version is 2. Other protocol versions are 3 and 4 (Postfix 2.3 and later), and

6 (Postfix 2.5 an later).

    postfix/smtpd[21045]: warning: milter inet:host:port: can't read packet

    header: Unknown error : 0

    postfix/cleanup[15190]: warning: milter inet:host:port: can't read packet

    header: Success

table shows wich timeouts are used and when (EOH = end of headers; EOM = end of

message).

    |PPaarraammeetteerr             |TTiimmee lliimmiitt|PPrroottooccooll ssttaaggee                 |

Beware: 30s may be too short for applications doing lots of DNS lookups.

However, if you increase the above timeouts too much, remote SMTP clients may

hang up and mail may be delivered multiple times. This is an inherent problem

with before-queue filtering.

Different macros are available at different SMTP protocol stages (EOH = end-of-

header, EOM = end-of-message); their availability is not always the same as in

    |NNaammee                |AAvvaaiillaabbiilliittyy             |DDeessccrriippttiioonn               |

    |_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ |

    |i                   |DATA, EOH, EOM           |Queue ID                  |

    |_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ |

    |j                   |Always                   |value of myhostname       |

    |                    |                         |Client hostname, "unknown"|

    |{client_name}       |Always                   |when lookup or            |

    |                    |                         |verification fails        |

    |                    |                         |Client name from reverse  |

    |{client_ptr}        |CONNECT, HELO, MAIL, DATA|lookup, "unknown" when    |

    |                    |                         |lookup fails              |

    |{rcpt_addr}         |RCPT                     |Recipient address         |

Postfix sends specific sets of macros at different SMTP protocol stages. The

     _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 

    |PPaarraammeetteerr nnaammee               |PPrroottooccooll vveerrssiioonn|PPrroottooccooll ssttaaggee |

    |_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ |

    |milter_connect_macros        |2 or higher     |CONNECT        |

    |_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ |

    |milter_helo_macros           |2 or higher     |HELO/EHLO      |

    |_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ |

    |milter_mail_macros           |2 or higher     |MAIL FROM      |

    |_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ |

    |milter_rcpt_macros           |2 or higher     |RCPT TO        |

    |_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ |

    |milter_data_macros           |4 or higher     |DATA           |

    |_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ |

    |milter_end_of_header_macros  |6 or higher     |EOH            |

    |_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ |

    |milter_end_of_data_macros    |2 or higher     |EOM            |

    |_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ |

    |milter_unknown_command_macros|3 or higher     |unknown command|

    |_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ |

Content filters may break DKIM etc. signatures. If you use an SMTP-based

content filter, then you should add a line to master.cf with "-

o disable_mime_output_conversion=yes" (note: no spaces around the "="), as

described in the advanced content filter example.

Sendmail Milter applications were originally developed for the Sendmail version

8 MTA, which has a different architecture than Postfix. The result is that some

Milter applications make assumptions that aren't true in a Postfix environment.

    This happens because those Milter applications expect that the queue ID is

    known before the MTA accepts the MAIL FROM (sender) command. Postfix, on

    the other hand, does not choose a queue file name until after it accepts

    the first valid RCPT TO (recipient) command (Postfix queue file names must

    be unique across multiple directories, so the name can't be chosen before

    the file is created; if multiple messages were to use the same queue ID

    simultaneously, mail would be lost).

 

If you experience the ugly header problem, see if a recent version of the

Milter application fixes it. For example, current versions of dkim-filter and

dk-filter already have code that looks up the Postfix queue ID at a later

protocol stage.

 

To fix the ugly message header with sid-filter applications, we change the

source code, so that it does the queue ID lookup after Postfix receives the end

of the message.

 

  * Edit the filter source file (named sid-filter/sid-filter.c).

 

  * Look up the smfilter table and replace mlfi_eoh by NULL.

 

  * Look up the mlfi_eom() function and add code near the top that calls

    mlfi_eoh() as shown by the bboolldd text below:

 

            assert(ctx != NULL);

    #endif /* !DEBUG */

 

            rreett == mmllffii__eeoohh((ccttxx));;

            iiff ((rreett !!== SSMMFFIISS__CCOONNTTIINNUUEE))

                    rreettuurrnn rreett;;

 

NOTES:

 

  * This was tested with sid-milter-0.2.10 and sid-milter-0.2.14.

 

To fix the ugly message header with other Milter applications, you will need to

do something like this:

 

  * Edit the filter source file (typically named xxx-filter/xxx-filter.c or

    similar).

 

  * Look up the mlfi_eom() function and add code near the top shown as bboolldd

    text below:

 

    dfc = cc->cctx_msg;

    assert(dfc != NULL);

 

    //** DDeetteerrmmiinnee tthhee jjoobb IIDD ffoorr llooggggiinngg.. **//

    iiff ((ddffcc-->>mmccttxx__jjoobbiidd ==== 00 |||| ssttrrccmmpp((ddffcc-->>mmccttxx__jjoobbiidd,, JJOOBBIIDDUUNNKKNNOOWWNN)) ==== 00)) {{

            cchhaarr **jjoobbiidd == ssmmffii__ggeettssyymmvvaall((ccttxx,, ""ii""));;

            iiff ((jjoobbiidd !!== 00))

                    ddffcc-->>mmccttxx__jjoobbiidd == jjoobbiidd;;

    }}

 

    /* get hostname; used in the X header and in new MIME boundaries */

 

NOTES:

 

  * Different mail filters use slightly different names for variables. If the

    above code does not compile, look for the code at the start of the mlfi_eoh

    () routine.

 

  * This fixes only the ugly message header, but not the WARNING message.

    Fortunately, many Milters log that message only once.

  * Postfix version 2.3 introduces support for Sendmail 8 milter protocol

    versions 2, 3 and 4; Postfix version 2.5 adds support for protocol version

    6, which is available with Sendmail 8.14. Support for other protocol types

    or protocol versions may be added later.

 

  * For applications that are written in C, you need to use the Sendmail

    libmilter library. A Postfix replacement may be provided in the future.

 

  * There are TWO sets of mail filters: filters that are used for SMTP mail

  * When mail is filtered by non-SMTP filters, the Postfix cleanup(8) server

    has to simulate the SMTP client CONNECT and DISCONNECT events, and the SMTP

    client EHLO, MAIL FROM, RCPT TO and DATA commands. This works as expected,

    with only one exception: non-SMTP filters must not REJECT or TEMPFAIL

    simulated RCPT TO commands. When a non-SMTP filter REJECTs or TEMPFAILs a

    recipient, Postfix will report a configuration error, and mail will stay in

    the queue.

  * Postfix 2.3 does not support Milter requests to replace the message body.

    Milter applications that request this unsupported operation will log a

    warning like this:

 

        application name: st_optionneg[134563840]: 0x3d does not fulfill action

        requirements 0x1e

  * Postfix version 2.5 implements the Sendmail 8.14 features except:

    SMFIP_RCPT_REJ (report rejected recipients to the mail filter),

    SMFIR_CHGFROM (replace sender, with optional ESMTP command parameters), and

    SMFIR_ADDRCPT_PAR (add recipient, with optional ESMTP command parameters).